應(yīng)用網(wǎng)絡(luò)安全研究所(IANS)對ISC-Squared的80個成員所作的抽樣調(diào)查發(fā)現(xiàn)，組織成員在技術(shù)才能方面得分很高，但是在組織參與方面稍落后于IANS對1000個對象所作的更廣泛的抽樣調(diào)查。

[[172464]]

　　技術(shù)才能側(cè)重于部署的具體安全產(chǎn)品和服務(wù)，而組織參與是指公司針對信息安全如何與業(yè)務(wù)步調(diào)一致所落實的流程。

　　IANS的***研究官Stan Dolberg和IANS***執(zhí)行官Phil Gardner在近日于奧蘭多召開的ISC-Squared安全大會上介紹了上述調(diào)查結(jié)果。

　　Gardner補充道，隨著***信息安全官(CISO)與企業(yè)里面的更多小組和部門進行聯(lián)系，組織參與的重要性會與日俱增。

　　Gardner說：“我們發(fā)現(xiàn)，向企業(yè)的其他部門間接匯報的現(xiàn)象越來越多。ISC-Squared組織成員中約80%向IT部門之外的部門進行某種匯報。”

　　IANS把組織參與分為七個因素。本文列出了這七個因素，并介紹了ISC-Squared的成員相比更廣泛的成員情況如何。

　　***個因素：獲得事實的控制權(quán)。

　　通過獲得事實的控制權(quán)，ISC-Squared的成員按CISO和團隊執(zhí)行下列工作的方式來打分：識別所使用的威脅和風險數(shù)據(jù)的種類;識別那些資產(chǎn)和流程面臨的威脅和風險;對照那樣風險，評估控制機制的強度;并與高層管理班子就那些評估達成共識。

　　此外，IANS衡量CISO在多大程度上將該信息與來自公司遇到的事件的數(shù)據(jù)聯(lián)系起來，衡量它們是否對該數(shù)據(jù)建模、開發(fā)預(yù)測模型。IANS還密切分析了公司是否驗證了那些預(yù)測模型，它們是否開發(fā)了一種規(guī)劃工具，以便CISO用來幫助識別新的業(yè)務(wù)項目面臨的潛在風險。

　　相比1000個對象的總體數(shù)據(jù)集，表現(xiàn)***的ISC-Squared調(diào)查對象在三項標準中的兩項得分偏低。

　　第二個因素：讓業(yè)務(wù)領(lǐng)導(dǎo)人負責風險。

　　IANS表示，CISO部門是為了幫助高層管理班子管理信息安全風險而設(shè)立的。但是CISO部門無法“負責”所有風險。

　　新的業(yè)務(wù)項目帶來了新的風險;相比CISO負責所有的信息安全風險，讓業(yè)務(wù)負責人管控那些風險、并讓他們對此負責有助于帶來更高效的交互、更及時的風險評估。

　　這里有幾個想法：Dolberg表示，雖然不是常態(tài)，但一些企業(yè)現(xiàn)正在把薪酬與業(yè)務(wù)部門在信息安全問題上的表現(xiàn)實行掛鉤。業(yè)務(wù)部門在信息安全方面所負的責任越大，薪酬就越高。許多公司還在模擬信息安全事件，那樣業(yè)務(wù)工作人員就能更廣泛地了解問題。

　　相對總體數(shù)據(jù)集，表現(xiàn)***的ISC-Squared調(diào)查對象在讓業(yè)務(wù)部門負責風險的四個標準方面中的三個得分較高，尤其是利用模擬獲得高層的認可，以及制定明確的風險監(jiān)管政策。

　　第三個因素：把信息安全融入到關(guān)鍵的業(yè)務(wù)流程。

　　這個因素著眼于CISO和團隊在多大程度上把信息安全風險評估融入到重要流程中，而這些流程帶來了新的應(yīng)用程序、系統(tǒng)、產(chǎn)品、市場玩家、依賴第三方的托管服務(wù)或云部署。

　　ISC-Squared的抽樣對象在選擇廠商方面做得很好。把安全融入廠商選擇意味著，向法務(wù)部門和采購部門提供信息安全信息，那樣它們知道在與新廠商簽署合同時提什么樣的問題。就ISC-Squared的抽樣對象而言，如果廠商想把產(chǎn)品賣給其企業(yè)，信息安全肯定是考慮標準的重要部分。

　　相對總體數(shù)據(jù)集，表現(xiàn)***的ISC-Squared調(diào)查對象在融入信息安全的四個標準中的三個得分較低。然而，它們在把安全融入廠商選擇方面得分較高。

　　第四個因素：像運作公司那樣運作信息安全。

　　IANS發(fā)現(xiàn)，想要博得企業(yè)領(lǐng)導(dǎo)層的信任，有必要像運作公司那樣運作CISO部門。

　　IANS在預(yù)算編制、人事管理和項目管理等方面評估了ISC-Squared的成員。ISC-Squared組織成員在項目管理方面做得很好，其他任務(wù)方面基本上不相上下，這不足為奇。

　　ISC-Squared的成員能夠證明可以熟練、靈活地利用資源，包括管理顧問和合同工。它們還能提議項目、配備人手，并按時、按預(yù)算完成項目。

　　相比總體數(shù)據(jù)集當中的表現(xiàn)出眾者，表現(xiàn)***的ISC-Squared調(diào)查對象在運作公司那樣運作信息安全部門方面與總體數(shù)據(jù)集不相上下。

　　第五個因素：打造精通技術(shù)和業(yè)務(wù)的團隊。

　　就這個因素而言，ISC-Squared組織成員組在使用圍繞技術(shù)、業(yè)務(wù)和人際技能而打造的能力模型方面的得分低于總體數(shù)據(jù)集，在培訓管理層的領(lǐng)導(dǎo)力方面得分低一點。

　　IANS表示，ISC-Squared組織成員需要更好地專注于制定能不斷發(fā)展、代言CISO的團隊的計劃，同時專注于計劃項目以及突出出現(xiàn)的事件。

　　第六個因素：傳達信息安全的價值。

　　這個方面的成功取決于CISO如何向業(yè)務(wù)部門清楚地傳達了信息安全的價值，以便能夠被其余工作人員所體會。

　　CISO需要了解業(yè)務(wù)的方方面面。從調(diào)查結(jié)果來看，ISC-Squared抽樣對象很顯然能夠向銷售、軟件開發(fā)和后勤等業(yè)務(wù)部門非常具體地描述安全要求。

　　ISC-Squared組織成員在這方面表現(xiàn)很好，尤其是傳達信息安全的價值，尤其是利益相關(guān)者互動方面。

　　第七個因素：成功的組織方式。

　　信息安全脫胎于IT，但是這個職能部門演進的方式影響的不僅僅是IT。雖然還沒有成為一股潮流，但是更多的CISO現(xiàn)在向風險部門、財務(wù)部門和法務(wù)部門匯報。一些甚至聽命于CEO。

　　***大、最成功的公司會設(shè)有與公司里面盡可能多的部門和小組有溝通渠道的CISO部門。ISC-Squared抽樣對象在以下兩個方面與數(shù)據(jù)集其余部分不相上下，甚至更勝一籌：CISO向技術(shù)部門之外的部門間接匯報以及聯(lián)系高層管理人員。

　　原文地址：http://www.darkreading.com/operations/7-factors-that-make-security-organizations-more-effective/d/d-id/1326983